Das gefährdet Unternehmen und Behörden weltweit.**
Die Bedrohungslandschaft wandelt sich grundlegend. Statt Endgeräte zu kompromittieren, zielen Angreifer immer häufiger auf Identitätsanbieter und Cloud-Dienste ab. Das zeigen aktuelle Daten aus der ersten Maiwoche 2026. Im Zentrum stehen Social Engineering, „Email Bombing“ und automatisierte Umgehungen von Authentifizierungsverfahren.
Besonders aktiv sind die Gruppen CORDIAL SPIDER und SNARKY SPIDER. Sie nutzen Voice-Phishing (Vishing) und Single-Sign-On-Portale (SSO), um unbefugten Zugriff zu erlangen. Allein Microsoft hat im ersten Quartal 2026 rund 8,3 Milliarden Phishing-E-Mails identifiziert – ein neuer Rekord. Die Täter setzen vermehrt auf QR-Codes und automatisierte Phishing-as-a-Service-Kits (PhaaS).
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Vishing-Angriff auf ADT: Millionen Datensätze gestohlen
Die Verwundbarkeit von Identitätssystemen zeigte sich Ende April 2026 drastisch. Der Sicherheitsdienstleister ADT erlitt einen schweren Datenleck, das am 20. April entdeckt wurde. Die Angreifer erbeuteten Namen, Telefonnummern und Adressen von rund 5,5 Millionen E-Mail-Konten. Der Einstieg gelang über einen Vishing-Angriff auf ein Okta-SSO-Konto und eine Salesforce-Instanz.
Zahlungsdaten und Sicherheitssysteme blieben zwar unberührt. Doch die Erpressergruppe ShinyHunters droht, einen noch größeren Datensatz mit 10 Millionen Datensätzen zu veröffentlichen.
Auch die Europäische Kommission wurde getroffen. Ein Datenleck auf ihrer Cloud-Infrastruktur (Europa.eu-Plattform) führte angeblich zum Diebstahl von 350 Gigabyte Daten. ShinyHunters bekannte sich auch zu diesem Angriff. Die Täter sollen auf E-Mail-Server, Datenbanken und Verträge zugegriffen haben. Der Vorfall ereignete sich in einer AWS-Umgebung – der Cloud-Anbieter selbst blieb aber unkompromittiert.
„Email Bombing“: Tarnung für Schadsoftware
Die Taktiken werden aggressiver. Die Gruppe UNC6692 setzt Microsoft Teams ein, um einen neuen Schädling namens „Snow“ zu verbreiten. Die Masche: Ein „Email Bombing“ überschwemmt das Opfer mit Benachrichtigungen, während ein bösartiger Browser-Extension installiert wird. Sobald der Zugriff steht, stehlen die Angreifer Zugangsdaten und übernehmen ganze Domänen.
Automatisierte OAuth-Angriffe auf Azure
Auch die Automatisierung schreitet voran. Ein Werkzeug namens „ConsentFix v3″ ermöglicht OAuth-Missbrauch in Microsoft Azure. Die Angreifer führen mehrstufige Operationen durch – von der Aufklärung bis zum Token-Diebstahl. Microsoft bestätigt die Angriffe und empfiehlt Token-Bindung sowie strenge Authentifizierungsbeschränkungen.
Eine weitere Kampagne namens „AccountDumpling“ hat bereits über 30.000 Facebook-Konten kompromittiert. Die Täter nutzen Google AppSheet als Phishing-Relais und versenden E-Mails von legitimen Google-Domänen – klassische Spam-Filter werden so umgangen. Das Ziel: ein blauer Verifikationshaken, der auf gefälschte Support-Seiten führt.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheit stärken ohne teure Investitionen
Supply-Chain-Angriffe: Drittanbieter als Einfallstor
Die Lieferkette bleibt ein Schwachpunkt. Ende April traf es die Paketverwaltungen npm und PyPI. Checkmarx und Bitwarden wurden am 22. April Opfer eines Supply-Chain-Angriffs. Zudem wurde eine schadhafte Version der Software Elementary auf PyPI entdeckt. Selbst wenn Unternehmen ihre eigenen Identitäten schützen, bleiben die von ihnen genutzten Drittanbieter verwundbar.
Massenausbeutung kritischer Systeme
Parallel zu den Identitätsangriffen gibt es weiterhin massive Infrastruktur-Lücken. Eine kritische Zero-Day-Lücke in cPanel und WHM (CVE-2026-41940) treibt seit Februar 2026 eine großangelegte Ausbeutungskampagne an. Der Schwachstelle wurde ein CVSS-Score von 9,8 zugewiesen – sie erlaubt unbefugten Root-Zugriff.
Laut Shadowserver wurden weltweit über 44.000 IP-Adressen kompromittiert. Die höchsten Konzentrationen finden sich in den USA, Frankreich und Deutschland. Die Erpresserbande „Sorry“ nutzt die Lücke, um Dateien mit der Endung .sorry zu verschlüsseln und Lösegeld von rund 7.000 Dollar zu fordern. Die US-Behörde CISA hat den 3. Mai 2026 als Frist für Patches gesetzt – betroffen sind schätzungsweise 1,5 Millionen Instanzen.
„Copy Fail“: Linux-Kernel-Lücke betrifft fast alle Distributionen
CISA hat zudem eine schwerwiegende Schwachstelle im Linux-Kernel in seinen Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Die als „Copy Fail“ (CVE-2026-31431) bekannte Lücke betrifft nahezu alle Linux-Distributionen seit 2017 – darunter Ubuntu, Red Hat Enterprise Linux und Amazon Linux.
Ein einfaches Python-Skript reicht aus, um von einem unprivilegierten Benutzer zu Root-Rechten zu gelangen. Ein Patch wurde am 1. April 2026 in den Hauptkernel integriert. Dennoch bleiben Cloud-Workloads und containerisierte Umgebungen gefährdet, die noch nicht aktualisiert wurden.
Milliardenverluste durch Cyberkriminalität
Der aktuelle Anstieg folgt auf ein Rekordjahr. Das FBI verzeichnete für 2025 in den USA 20,8 Milliarden Dollar Verlust durch Cyberkriminalität – bei über einer Million gemeldeter Vorfälle. Die Einstiegshürde für komplexe Angriffe sinkt durch KI und PhaaS-Kits dramatisch.
Europas Polizeibehörde Europol sieht Ransomware weiterhin als dominante Bedrohung. Über 120 aktive Ransomware-Marken wurden im vergangenen Jahr identifiziert. Die Fragmentierung der Darknet-Märkte und die zunehmende Nutzung von Ende-zu-Ende-Verschlüsselung erschweren die Strafverfolgung.
Ausblick: Neue Prioritäten für die Unternehmenssicherheit
Die Konvergenz von Identitätsangriffen und Infrastruktur-Lücken erfordert ein Umdenken. Herkömmliche Multi-Faktor-Authentifizierung reicht gegen ausgefeilte Vishing- und Bombing-Taktiken nicht mehr aus. Experten empfehlen widerstandsfähigere Methoden wie hardwarebasierte Schlüssel und Verhaltensanalysen.
Die unmittelbare Priorität bleibt die Beseitigung der cPanel- und Linux-Kernel-Lücken. Mit dem Ablauf der CISA-Frist am 3. Mai 2026 schließt sich das Zeitfenster für proaktive Patches. Die „Snow“-Malware-Kampagne und die OAuth-Angriffe auf Azure zeigen: Die Überwachung ungewöhnlicher Muster in SaaS-Kommunikation und Anwendungsberechtigungen wird zum entscheidenden Faktor für die Unternehmenssicherheit im Frühjahr und Sommer 2026.
